行业规范更新|SSL证书有效期缩短至 199 天,应对指南请查收
根据CA/Browser Forum最新通过的提案SC-081v3要求,自2026年3月15日起,所有公开信任的SSL/TLS证书的有效期将逐步缩短,最长有效期将由398天调整为200天以内。这意味着,您目前使用的SSL证书将在未来续签或重签发时,有效期将缩短至199天。
以下为本次新规的核心调整细节、各主流CA品牌执行策略及天威诚信专属应对方案,建议企业重点关注并提前规划。
-01-
主流CA品牌调整策略全览
各主流CA品牌已陆续明确199 天有效期执行时间及配套规则,其中,国密证书不受本次国际规范限制,仍保持原有有效期,具体信息如下表:
-02-
证书重签发核心机制说明
为确保证书在 199 天有效期下持续有效,结合行业最佳实践,天威诚信推荐两种重签发方式,企业可根据自身技术能力选择,其中API 自动重签发为行业主流推荐方案,安全性与效率更优。
✅ 推荐方式:API 自动重签发(安全性更高)
系统将监控“证书到期日”与“订单/订阅到期日”;
在SSL证书到期前 14-30天(可自定义),系统将自动创建新密钥对,调用replace接口发起重签发;
OV/EV证书多数域名可免验证,DV证书需重新完成域名验证;
当订阅剩余有效期不足30天时,系统将停止自动重签,需您手动续费。
⚠ 备选方式:使用旧 CSR 重签发(vTrus 品牌不支持)
使用用户原有CSR发起重签发;
OV/EV证书多数域名可免验证,DV证书需重新验证。
-03-
各 CA 品牌专属调整细则
1、DigiCert 品牌动态
· 自 2026 年 2 月 24 日起,旗下所有子品牌产品正式执行 199 天最长有效期策略:
· 全系列产品支持订阅模式(含Geotrust、RapidSSL、Basic系列证书),可选择 1-3 年期证书订阅,适配企业长期管理需求;
· 订阅期内可签发多张 199 天证书,支持随时发起重签发;若订阅剩余时长不足 199 天,证书有效期将同步至订阅到期日;
· 首张 199 天证书到期前 30 天内,需通过 API 发起重签发,自动重签时间建议自定义为 14-30 天,后续有效期缩至 100 天 / 47 天时可调整为 7-14 天;
· 订阅剩余有效期不足 30 天时,自动重签功能暂停,需完成续费后恢复。
2、GlobalSign 品牌动态
· 自 2026 年 3 月 14 日起正式执行 199 天最长有效期策略,不支持订阅模式:
· 首个订单签发 199 天证书,按 1 年期收取成本;首张证书到期前 30 天内,可发起 1 次免费更新,订单有效期内重签的证书,到期日与首次签发一致;
· 若企业暂不希望支付 1 年期成本,可通过 API 申请 6 个月订单,证书有效期为 180 天,成本为 1 年期的 0.6 倍,适配短期使用需求。
3、vTrus 品牌动态
· 自 2026 年 3 月 13 日起正式执行 199 天最长有效期策略:
· 所有订单默认 1 年期或 395 天订阅,订阅期内可签发多张 199 天证书,支持随时重签发;订阅剩余时长不足 199 天时,证书有效期同步至订阅到期日;
· 首张 199 天证书到期前 30 天内,需通过 API 主动发起重签发,自动重签时间建议自定义为 14-30 天(后续可灵活调整);
· 核心注意:不支持使用旧 CSR 重签发,必须通过 API 请求完成证书有效期延展
· 订阅剩余有效期不足 30 天时,自动重签功能暂停,续费后恢复。
4、vTrus国密 品牌动态
· 天威诚信自研 vTrus 国密算法 SSL 证书不受本次 CA/B 论坛规范限制,仍支持签发 1年期或最长395天有效期证书,原生适配国内信创环境,满足等保、密评等合规要求,是企业国内业务的优选方案。
-04-
天威诚信SSL证书自动化管理解决方案
针对本次 SSL 证书有效期缩短的行业调整,结合 DigiCert、GlobalSign、vTrus 等主流 CA 品牌的不同执行规则,同时考虑到企业在证书高频管理中面临的人工操作效率低、易遗漏过期风险、私钥管理不规范等痛点,天威诚信推出SSL证书全链路自动化解决方案。
该方案可全面适配各主流 CA 品牌的技术规范与重签发要求,兼顾不同企业的 IT 运维基础,成为企业应对证书有效期调整的核心解决方案,实现证书重签发与全生命周期管理的智能化、标准化。
该自动化解决方案的核心能力与实际应用价值,均围绕行业新规与企业实际运维需求设计,具备以下核心特性:
· 智能策略集中管理:引擎内置强大的策略管理中心,支持基于行业最佳实践的合规模板配置。企业可灵活定义双证书策略、证书类型选择(OV/DV/EV)、环境适配规则等,实现从生产、预演到开发测试环境的全场景策略覆盖。策略引擎支持预检与变更预览,确保配置变更的安全可控。
· 全生命周期自动化管理:平台实现了证书从发现到吊销的全流程闭环管理:通过主动扫描、资产导入与指纹识别,自动发现全网证书资产,消除影子证书盲区;支持商业证书购买与ACME协议自动申请,集成域名/企业验证流程;提供多租户隔离的证书仓库,实现私钥加密存储与历史证书归档;基于多级告警的自动续订策略,支持吊销原因记录与CRL/OCSP同步。
· 自动化签发与部署:引擎提供多维度的自动化部署能力,支持Nginx/Apache/Tomcat等传统中间件,以及Docker/Kubernetes等容器平台;通过Agent监听、SSH批量推送(支持100+节点)、云平台API集成等方式,实现公有云、私有云及混合环境统一部署;支持灰度发布与一键回滚,提供完整的部署审计追踪与成功率分析。
· 全方位监控与审计合规:平台构建了完善的可观测性与合规体系:7x24小时SSL健康监控,集成HTTPS连通性测试与SSL Labs安全评估;提供证书健康度评分、使用统计与成本分析,支持续订趋势预测;记录所有操作日志,自动生成合规报告,满足各类审计要求;支持与CMDB、监控系统、ITSM工单及CI/CD流程深度集成,提供多通道通知支持。
-05-
天威诚信专业建议
为帮助企业无缝过渡本次新规,杜绝因证书过期导致的业务中断、数据泄露等风险,天威诚信结合百万企业服务经验,给出以下 5 点核心建议:
1、立即盘点现有证书信息
全面梳理企业当前使用的 SSL 证书品牌、域名、到期时间,建立完整的证书资产台账,天威诚信可提供免费证书资产扫描服务;
2、评估证书管理能力
结合企业自身 IT 运维基础,评估现有证书续签、重签的自动化能力,若暂未实现自动化管理,建议尽快部署适配行业新规的管理方案;
3、优先部署自动化管理体系
依托专业的 SSL 证书自动化解决方案,完成企业证书管理的智能化升级,适配证书高频重签的行业新趋势,从根源上解决人工管理的各类痛点;
4、提前规划续费重签流程
根据各 CA 品牌的 199 天有效期执行时间,提前完成存量证书的续费与重签操作,避免临近到期集中处理导致的操作失误与服务风险;
5、国密证书需求优选vTrus
若企业有国内信创、等保密评等合规需求,可选择天威诚信自研 vTrus 国密证书,该证书不受本次国际规范限制,仍可享受 365 天有效期政策,同时可实现国际 RSA 与国密 SM2 双证书的协同管理。▼证书有效期缩短,是挑战,更是升级管理模式的契机。天威诚信将始终与您并肩,以专业的技术和贴心的服务,护航您的数字世界安全无忧。
▼
证书有效期的缩短,是挑战,更是升级管理模式的契机。天威诚信将始终与您并肩,以专业的技术和贴心的服务,护航您的数字世界安全无忧!
